BlueGravitas
← Alle Essays

Essay

Beim ersten Mal ist alles schwierig.

8 Minuten Lesezeit Tom Kutschi

Jeder kennt das. Der erste Tag an einer neuen Arbeitsstelle. Die erste Präsentation vor einem Vorstand. Das erste Kundengespräch als frischer Consultant. Die erste Verhandlung, in der es um wirklich Geld geht. Die Hände sind feucht, der Kopf ist schneller als der Mund, die Antworten, die einem abends einfallen, hätten nachmittags geholfen. Beim ersten Mal ist alles schwierig. Das ist keine Schwäche, das ist eine Tatsache über Lernen.

Sie ist auch eine Tatsache über Organisationen. Der Unterschied: Eine Organisation kann sich aussuchen, wann ihr erstes Mal stattfindet. Ein Mensch kann das auch — ein bisschen. Eine Organisation kann es vollständig.

Und trotzdem tun die meisten Organisationen alles, damit ihr erstes Mal in einem echten Sicherheitsvorfall stattfindet. Nicht absichtlich. Aus Versehen.

Die Situation ist ungefähr immer die gleiche: Ein Unternehmen hat einen Krisenstab auf dem Papier. Einen Notfallplan in einem SharePoint-Ordner. Ein Incident-Handbuch, das ein Auditor einmal gesehen hat und als ausreichend bewertet hat. Vielleicht hängt eine Telefonliste im Server­raum. Technisch ist alles da. Dokumentarisch auch. Und dann passiert etwas, und niemand weiß, welches Dokument jetzt gilt.

Wer erinnert sich an das Passwort des Krisen-Teams-Meetings? Der CISO ist im Urlaub — wer übernimmt formal? Der Kommunikationschef fragt, ob die Datenschutzbehörde informiert werden muss, und niemand weiß, wer das entscheidet. Der IT-Leiter will das System vom Netz nehmen. Der Produktionsleiter schreit, dass dann die Fertigung still­steht. Irgendjemand fragt, ob man die Polizei anruft oder erst die Anwälte. Alle schauen einander an.

Das ist das erste Mal. Und beim ersten Mal ist alles schwierig.

Was an diesem Moment so besonders anstrengend ist, hat weniger mit Technik zu tun, als man denkt. Die technischen Fragen werden meistens gelöst — irgendwie, irgendwann. Die eigentliche Schwierigkeit liegt in den nicht-technischen Aspekten, die in Handbüchern typischerweise schlechter beschrieben sind als in der Realität auftauchen.

Wer spricht mit dem Vorstand, wenn er nachts um drei anruft? In welcher Reihenfolge werden welche Fakten kommuniziert, damit niemand falsche Schlüsse zieht? Wie hält man in einer offenen Lage eine Entscheidung offen, ohne unentschlossen zu wirken? Wie erklärt man einem Kunden, warum gerade kein Service verfügbar ist, ohne ihn zu verlieren und ohne zuviel zu sagen? Welche Mails darf man aus dem kompromittierten Account noch schreiben, welche nicht? Wie verhindert man, dass der IT-Leiter und der Compliance-Beauftragte aneinander vorbeireden und beide glauben, der andere macht den Job?

Die technische Seite eines Vorfalls ist selten das schwerste Teil. Das schwerste Teil ist, dass eine Organisation, die noch nie zusammen in einer Krise war, in einer Krise nicht einfach zusammen­arbeitet.

Ein Krisenstab ist keine Ansammlung von Rollen. Er ist eine eingespielte Mannschaft. Und eingespielt wird man, indem man spielt. Das kann man in einem Handbuch nicht abbilden. Man kann es nur üben.

Der klassische Einwand an dieser Stelle ist: „Wir haben keine Zeit für Übungen. Wir haben genug echte Arbeit.” Das ist richtig — und gleichzeitig der Hauptgrund, warum eine Übung nützt. Eine Übung simuliert nicht nur den Ernstfall. Sie simuliert auch, was es bedeutet, den Ernstfall zu bewältigen, während der normale Betrieb weiterläuft. Genau das ist der echte Stress. Nicht der Vorfall, sondern die Tatsache, dass die Welt drumherum nicht pausiert.

Eine gute Übung beantwortet am Ende zwei Fragen. Was würde in der Realität funktionieren? Und was nicht? Antworten auf die zweite Frage sind wertvoller. Sie zeigen, wo die Organisation in der echten Krise überrascht werden würde. Jeder dieser Punkte ist eine Einladung, ihn vor der Krise zu lösen.

Was dort typischerweise gefunden wird, ist nie das, was man erwartet hat. Niemand überrascht sich selbst mit den Themen, die im Handbuch stehen. Die Überraschungen sind meistens Übergaben, Entscheidungs­kompetenzen, Kommunikations-Reihenfolgen und die Frage, wer was nicht selbst machen darf. Lauter Dinge, die leicht aussehen und schwer sind, solange sie unbeübt sind.

Aus dieser Erkenntnis heraus haben wir begonnen, systematisch mit Tabletop-Übungen zu arbeiten — und irgendwann ein eigenes Werkzeug dafür entwickelt, weil die vorhandenen Lösungen entweder zu generisch oder zu bürokratisch waren. Das Werkzeug heißt SecDrills. Aber das Werkzeug ist nicht die Sache. Die Sache ist die Übung.

Was eine Organisation wirklich braucht, ist nicht das richtige Tool, sondern mehrere Durchläufe. Zwei, drei, vier Übungen über ein Jahr. Nicht perfekt inszeniert. Nicht Hollywood. Einfach zwei Stunden am Tisch, ein realistisches Szenario, die richtigen Menschen, eine Moderation, die Druck macht, aber fair bleibt. Und hinterher eine Diskussion, die ehrlich ist.

Nach drei solcher Übungen sieht die Organisation anders aus. Nicht weil die Handbücher besser geschrieben sind. Sondern weil die Menschen einander kennen — in der Rolle, in der Eskalation, unter Zeitdruck. Der CIO weiß, wie der Datenschutzbeauftragte denkt. Der Kommunikations­chef weiß, welche Fakten die Anwältin zuerst wissen muss. Der CEO weiß, was er nicht selbst entscheiden sollte, auch wenn er es könnte.

Die Organisation hat ein zweites Mal. Und ein drittes. Und beim vierten Mal, wenn es ernst wird, ist es nicht mehr das erste Mal.

Das ist die einzige seriöse Antwort auf eine Frage, die jeder Vorstand irgendwann stellt: Wären wir im Ernstfall bereit? Die ehrliche Antwort ist fast immer nein. Nicht, weil die Organisation schlecht ist. Sondern weil es das erste Mal wäre.

Sorgen Sie dafür, dass es nicht das erste Mal ist. Das ist alles.

— Tom Kutschi, Co-Founder BlueGravitas

Nächster Essay

Nicht das Tool macht ein gutes SOC. →
Wenn Sie zu dieser Person gehören, wissen Sie, wo wir sind.

Sprechen Sie mit uns.

Erstgespräch ist 30 Minuten. Kostenfrei. NDA auf Wunsch.

Erstgespräch vereinbaren